La crisis sanitaria y la “nueva normalidad” imponen condiciones a las organizaciones que las obligan a revisar sus políticas de seguridad informática. El teletrabajo, como un fenómeno real ahora, requiere implementar soluciones de software, reuniones por videoconferencia, almacenamiento en la nube, VPN…
El trabajo remoto, y otras medidas tomadas en el punto más crítico de la emergencia, se propusieron como transitorias, pero hoy entendemos que han llegado para quedarse por un largo tiempo. Esto supone un peligro para las organizaciones, peligro que se puede eludir ajustando las políticas de seguridad informática.
¿Por qué es preciso revisar las políticas de seguridad informática?
Es un hecho que delincuentes cibernéticos han encontrado en las condiciones de teletrabajo en la nueva normalidad, un escenario propicio para desarrollar sus actividades.
Desde emails que prometen entregar la cura para el Covid-19, hasta supuestas donaciones para propósitos benéficos, los ciberdelincuentes atacan a inocentes empleados que trabajan desde sus casas.
Las cifras resultan alarmantes: Darktrace, organización especializada en el área de ciberseguridad, revela que cerca del 60% de ataques detectados por sus productos, están relacionados con contenidos fraudulentos sobre el Covid-19.
La información resulta aún más preocupante, cuando es difundida por un medio de comunicación tan respetable como The Guardian, de Londres: revela el diario inglés, que la medias de ataques a trabajadores en casa pasó de un 12%, en marzo de 2020, a 60%, un mes y medio después, periodo que coincide con el punto más alto de la pandemia y, por ende, de medidas restrictivas.
Esto es comprensible. Los equipos informáticos y las conexiones a internet domésticas, no cuentan con los escudos de defensa que se acostumbran en las instalaciones de las organizaciones. Los delincuentes lo saben, y aprovechan cualquier brecha de seguridad para lanzar sus ataques.
Pero el WiFi sin protección o las cuentas de correo electrónico gestionadas sin los debidos protocolos de seguridad no son la única preocupación. Las plataformas de videoconferencia – Zoom, Google Meet -, también han sido atacadas, promoviendo contenidos xenófobos u homofóbicos.
Pero, ¿qué pueden hacer las organizaciones? En respuesta a un estudio realizado por Centrify – organización líder en el área de acceso certificado -, el 48% de organizaciones participantes, opinan que el problema se encuentra en sus políticas de seguridad informática, que se han quedado rezagadas ante la avalancha de nuevas condiciones. El panorama no es halagüeño, ya que un 65% de los participantes en este mismo estudio, piensan que la tendencia será hacia el aumento de los ciberataques.
¿Qué considerar para ajustar las políticas de seguridad informática en la nueva normalidad?
Sabemos donde está el problema y tenemos que resolverlo. Pero, no se trata de redactar nuevas políticas de seguridad informática, sin criterio alguno. Es preciso considerar elementos esenciales, antes de iniciar la tarea:
Capacitar a los empleados
La formación y la capacitación serán claves en este proceso. Esto implica identificar deficiencias de formación, y encontrar los programas adecuados para subsanarlas. Por supuesto, todos los empleados, incluso los que nunca dejaron de trabajar en las instalaciones de la organización, necesitan saber exactamente cuáles son los riesgos a los que están expuestos.
Es importante que los empleados conozcan las cifras sobre ciberataques y la forma en que se producen. Ellos tienen que saber identificar elementos sospechosos y también saber dónde y a quién informarlos.
Esto incluye capacitar a los empleados que tendrán que trabajar con nuevas soluciones de software, o de comunicaciones, y redactar guías precisas en las que se indique cómo proceder ante cualquier problema.
Finalmente, cosas tan sencillas como trabajar en casa, sin que nadie pueda ver la pantalla del ordenador, o establecer una video conferencia desde una habitación cerrada, sin que personas ajenas a la organización puedan escuchar el contenido de la charla, deben convertirse en prácticas habituales y rutinarias, que deben aparecer en procedimientos de trabajo y estar incluidas en las mismas políticas de seguridad informática.
La #NuevaNormalidad obliga a las organizaciones a revisar sus #PolíticasSeguridadInformática. ¿Qué es importante considerar? Lo aprendemos hoy. #ISO 27001 #Ciberseguridad Share on XIdentificación y evaluación de nuevos riesgos
Antes de redactar una nueva política de seguridad informática, lo procedente es identificar, evaluar, y priorizar los nuevos riesgos. Es como iniciar de cero. Se deben elaborar mapas de riesgo y definir los controles a utilizar para eliminar los riesgos, o minimizar su impacto negativo.
Esto requiere la participación activa de todos los empleados. Después de todo, son ellos los que conocen las condiciones de trabajo en sus hogares, y los riesgos a los que pueden estar expuestos. Por supuesto, ellos requieren el apoyo de los profesionales de TI en cada paso del proceso.
Fortalecer la seguridad en casa
Muchos de los nuevos riesgos provienen de la deficiencia o ausencia de controles de seguridad en cada uno de los hogares en los que hay un trabajador. Esto es apenas natural. Las probabilidades de un ataque, o del robo de equipos o de información, aumentan exponencialmente con el trabajo en casa.
De la evaluación e identificación de riesgos, se derivan los controles que es preciso implementar. Un riesgo es, por ejemplo, que cuando el trabajador se levante de su sitio de trabajo, para alimentarse o para ir al baño, algún visitante en su hogar o un miembro de su familia, puede acceder a contenidos o información confidencial. El control a aplicar no puede ser otro que bloquear el equipo siempre que su usuario no se encuentre operándolo.
Cada riesgo, tiene un control para prevenirlo y eliminarlo. Pero estos controles deben aparecer en los procedimientos de trabajo, y, a su vez, provenir de las políticas de seguridad informática.
Implementar ISO 27001
Las organizaciones que antes de la crisis sanitaria, ya habían implementado el estándar de seguridad de la información ISO 27001, tendrán un trabajo más fácil al ajustar sus políticas de seguridad informática.
De hecho, estas organizaciones no tuvieron que esperar a sufrir ataques o leer un contenido como este. El natural desarrollo de sus Sistemas de Gestión de Seguridad de la Información, y la aplicación de los controles propuestos en el Anexo A del estándar, los habrán guiado a tomar el camino de ajustar sus controles y sus políticas de seguridad informática, de acuerdo con las nuevas condiciones.
ISO 27001 entrega a la organización un marco normativo eficaz, para mantener la seguridad de la información, sin importar cuáles son las condiciones de trabajo. Las organizaciones que implementan ISO 27001, adoptan las mejores prácticas de seguridad, y constantemente están identificando, evaluando, priorizando y gestionando riesgos.
Pero, para ello, requieren profesionales formados y capacitados en cada uno de los requisitos y controles de la norma. Sobre ello hablamos en nuestro apartado final.
Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión
ISO 27001 es el estándar internacional sobre Gestión de Sistemas de Seguridad de la Información más adoptado en el mundo. Los requisitos y controles de este estándar, permiten a las organizaciones preservar la integridad y la confidencialidad de su información, bajo cualquier escenario que se presente.
Pero es necesario tener en cuenta que todo Sistema de Gestión debe ser auditado para garantizar su efectividad. La nueva normalidad nos indica que las Auditorías Remotas son el camino a seguir, para preservar la seguridad sanitaria de auditores y auditados.
Bajo estas premisas, la Escuela Europea de Excelencia ha diseñado un pack de cursos denominado Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión.
Este programa de excelencia, permite al alumno conocer con profundidad todos los requisitos y controles de ISO 27001, y la forma de auditar, mantener y mejorar el Sistema de Gestión. Pero, además, el alumno conocerá las técnicas apropiadas para practicas auditorías remotas.
En la nueva normalidad, puedes impulsar tu carrera profesional con este programa de formación. Pero, también puedes considerar obtener un descuento considerable, afiliándote al Club Alumni.